art4all - stock.adobe.com
Leitfaden für die Patch-Verwaltung von Linux
Während das Patchen von Desktops einige universelle Aspekte für alle System aufweist, gibt es spezifische Linux-Best-Practices, die Admins kennen sollten.
Windows-Systeme sind dafür bekannt, dass sie häufig gepatcht werden müssen, aber in mancher Hinsicht ist die Patch-Verwaltung bei Linux sogar noch komplizierter, weil das Betriebssystem verstreut ist.
Das Patchen von Desktops ist für Administratoren zu einer routinemäßigen Wartungsaufgabe geworden, und Unternehmensnetzwerke umfassen zunehmend eine Mischung aus verschiedenen Desktop-Betriebssystemen. Daher ist es für alle Desktop-Administratoren – auch für diejenigen, die sich auf Windows konzentrieren – wichtig, die Best Practices des Linux-Patch-Managements und die Funktionsweise des Prozesses zu kennen.
Glücklicherweise gibt es eine Vielzahl von Tools und Ressourcen, die Administratoren dabei helfen, sich in diesem Bereich weiterzubilden. IT-Administratoren sollten diese acht Best Practices für das Linux-Patch-Management kennen, bevor sie Wartungsarbeiten an Linux durchführen.
Was ist Patch-Verwaltung unter Linux?
Das Linux-Patch-Management ähnelt dem Windows-Patch-Management, da es sich auf den Prozess der Verwendung von Patches zur Aktualisierung des Betriebssystems und der darauf ausgeführten Anwendungen bezieht. Diese Patches sind meist sicherheitsbezogen, können aber auch Fehlerkorrekturen oder neue Funktionen enthalten.
Warum ist das Patch-Management wichtig?
Es gibt zwei Hauptgründe, warum die Verwaltung von Patches wichtig ist. Erstens können Patches zur Behebung von Fehlern dazu beitragen, dass der Linux-Kernel reibungsloser funktioniert, wodurch die Wahrscheinlichkeit eines durch einen Fehler im Betriebssystem verursachten Arbeitsausfalls verringert wird.
Der zweite und wichtigere Grund ist, dass die meisten Patches dazu dienen, Sicherheitslücken im Betriebssystem zu schließen. Jedes Mal, wenn eine Schwachstelle entdeckt wird, macht sich die Hackergemeinde an die Arbeit und versucht, auf der Grundlage dieser Schwachstelle einen Exploit zu entwickeln. Sobald ein Path zur Behebung einer Schwachstelle erstellt wurde, suchen Cyberkriminelle außerdem aktiv nach ungepatchten Systemen. Die Installation aller verfügbaren Sicherheits-Patches verhindert, dass sie ins System eindringen können, indem sie eine bekannte Sicherheitslücke ausnutzen.
Wie oft sollte die Patch-Verwaltung durchgeführt werden?
Die Bedürfnisse jedes Unternehmens sind unterschiedlich, aber als Faustregel gilt, dass Sicherheits-Patches innerhalb von zwei Wochen nach ihrem Veröffentlichungsdatum installiert werden sollten, es sei denn, es gibt bereits eine Sicherheitslücke. Wenn es eine Sicherheitslücke gibt, sollte der Patch innerhalb von 48 Stunden installiert werden. Patches zur Behebung von Fehlern und zur Aktualisierung von Funktionen sind weit weniger dringlich und sollten erst dann installiert werden, wenn Sie sie gründlich getestet haben, um sicherzustellen, dass die Patches keine Probleme verursachen.
Bewährte Praktiken beim Linux-Patching
Beim Patchen von Linux-Systemen ist es wichtig, sich an bewährte Verfahren zu halten. Hier sind acht branchenübliche Verfahren.
1. Identifizieren Sie die Linux-Systeme und -Versionen, die die IT-Abteilung patchen muss
Im Großen und Ganzen ähneln die Best Practices für das Linux-Patching den Best Practices für das Windows-Patch-Management. Der Prozess umfasst das Scannen der Linux-Desktops auf fehlende Patches, das Herunterladen dieser Patches von der Hersteller-Website und die Bereitstellung dieser Patches. Der gleiche grundlegende Prozess gilt für Linux-Server in Rechenzentren. Was sich einfach anhört, ist für Administratoren alles andere als einfach.
Jeder Hersteller verteilt seine eigenen Patches, und die Patches, die für eine Distribution entwickelt wurden, funktionieren nicht mit einer anderen. Ebenso sind Patches betriebssystemspezifisch, so dass IT-Experten sicherstellen müssen, dass sie die Patches auf die richtige Version der richtigen Distribution anwenden.
2. Wählen Sie ein Linux-Patching-Tool mit der richtigen nativen Unterstützung
Eine der wichtigsten Best Practices besteht darin, ein Linux-Patching-Tool auf die entsprechenden Systeme abzustimmen. Jeder Linux-Anbieter und jede Linux-Distribution hat seine eigene Methode zur Verteilung von Patches. Zwar gibt es Ähnlichkeiten zwischen den gängigsten Linux-Distributionen, aber es gibt auch unzählige nuancierte Unterschiede.
Red Hat ermöglicht beispielsweise Live-Kernel-Patching, das keinen Neustart erfordert, mit einem Tool names Kpatch. Es ist auf GitHub verfügbar und für die Verwendung mit anderen Linux-Distributionen wie Fedora, Ubuntu und Debian ausgelegt. Allerdings unterstützen diese Anbieter von Linux-Distributionen Kpatch möglicherweise nicht, und das aus gutem Grund. GitHub warnt Administratoren, dass sie Kpatch mit Vorsicht verwenden sollten. Auf der Website wird daraufhin gewiesen, dass es zu Kernel-Abstürzen, spontanen Neustarts und Datenverlust kommen kann.
Es gibt zwei Möglichkeiten, diese Probleme zu vermeiden. Die erste besteht darin, nur native Tools zu verwenden, die den jeweiligen Linux-Distributionsanbieter offiziell unterstützen, wie zum Beispiel Red Hat, das Kpatch offiziell unterstützt. Die andere Möglichkeit für Linux-Desktop-Administratoren besteht darin, ein seriöses externes Patch-Management-Tool wie Automox, ManageEngine Endpoint Central oder GFI LanGuard zu verwenden.
Einer der größten Vorteile der Verwendung eines Linux-Patch-Management-Tools besteht darin, dass es den Prozess der Ermittlung der erforderlichen Patches automatisieren kann. Es automatisiert auch die Beschaffung dieser Patches und ihre Verteilung auf die richtigen Systeme.
Es ist auch erwähnenswert, dass viele Patch-Management-Tools von Drittanbietern für den Einsatz in plattformübergreifenden Umgebungen konzipiert sind. Einige Tools von Drittanbietern unterstützen nicht nur die verschiedenen Linux-Distributionen in einem Unternehmen, sondern können auch Windows- und macOS-Systeme patchen. Diese Tools können einen großen Beitrag zur Vereinfachung der Patch-bezogenen Netzwerksicherheit leisten.
3. Anwendungs-Patches sind genauso wichtig wie Betriebssystem-Patches
Obwohl sich viele Patch-Management-Bemühungen zu Recht auf das Patchen von Betriebssystemen konzentrieren, ist es genauso wichtig, Anwendungen mit den neuesten Patches auf dem neuesten Stand zu halten. Wenn es einem Angreifer gelingt, eine Anwendung zu kompromittieren, indem er eine bekannte Sicherheitslücke ausnutzt, kann er mit denselben Berechtigungen arbeiten, die der Anwendung zugewiesen wurden.
Daher ist es wichtig, Anwendungen in den Patching-Prozess einzubeziehen, um ihre Sicherheitslücken zu schließen. Das gilt sowohl für kommerzielle und Open-Source-Anwendungen als auch für solche, die intern entwickelt wurden.
Eine große Unternehmensumgebung kann Hunderte, wenn nicht Tausende von Anwendungen umfassen. Es ist in der Regel unpraktisch, die Websites der Anbieter ständig auf neue Updates zu überprüfen. Eine Möglichkeit, diesen Aufwand zu verringern und Zeit zu sparen, ist die Suche nach einer automatischen Patch-Management-Software, die mit den von Ihrem Unternehmen verwendeten Anwendungen funktioniert. Eine gute Patch-Management-Software sollte in der Lage sein, ein automatisches Patch-Management für Ihre Linux-Rechner und die darauf laufenden Anwendungen durchzuführen. Es ist fast unmöglich, ein automatisiertes Patch-Management-Tool zu finden, das mit jeder Anwendung funktioniert, so dass Sie einige Anwendungen möglicherweise manuell patchen müssen.
4. Testen und prüfen Sie Linux-Patches immer, bevor Sie sie verteilen
Unabhängig davon, für welches Tool sich ein Unternehmen letztendlich entscheidet, ist es wichtig, dass es einen reglementierten Patch-Management-Plan einführt. Eine der wichtigsten Komponenten eines solchen Plans ist die Entwicklung eines Verfahrens zum Testen von Software-Patches. Das bedeutet in der Regel, dass Patches auf einige wenige Linux-Testsysteme angewendet werden, um sicherzustellen, dass sie keine Probleme verursachen. Das kann IT-Administratoren davor bewahren, einen fehlerhaften Patch zu installieren, der auf allen Linux-Desktops im Unternehmen Probleme verursacht.
Die Patch-Überprüfung ist eine weitere Schlüsselkomponente eines guten Patch-Management-Plans. Es reicht nicht aus, sich einfach darauf zu verlassen, dass das Patch-Management-Tool Linux-Patches herunterlädt und verteilt. Linux-Administratoren müssen eine Möglichkeit haben, zu überprüfen, ob die Patches installiert wurden, und Systeme zu identifizieren, die nicht auf dem neuesten Stand sind. Die meisten Linux-Patch-Management-Tools von Drittanbietern verfügen von Haus aus über diese Art von Berichtsfunktionen. Fehlt einem Tool jedoch diese Funktion, muss die IT-Abteilung ein eigenes Prüfsystem entwickeln.
5. Entwickeln Sie eine Patch-Management-Richtlinie für Ihre Linux-Umgebung
Wenn es um das Patchen von Linux-Rechnern geht, ist eine der wichtigsten Maßnahmen, die Sie ergreifen können, die Entwicklung einer Patch-Management-Richtlinie, die den Prozess regelt. Die Richtlinien werden sich zwangsläufig von Unternehmen zu Unternehmen unterscheiden, aber einige Dinge sollten immer enthalten sein.
Eines davon ist ein Zeitplan für den gesamten Arbeitsablauf im Zusammenhang mit dem Patch-Management-Prozess. Der Zeitplan hängt im Allgemeinen von der Patch-Kategorie ab. So sollten beispielsweise Sicherheits-Patches, die hochgefährliche Schwachstellen beheben, so schnell wie möglich bereitgestellt werden, während weniger kritischer Patches vor der Bereitstellung in der Produktion länger getestet werden können.
6. Bleiben Sie über Patch-Ankündigungen auf dem Laufenden
Ein wichtiger Bestandteil der Patch-Verwaltung ist es, sich über Patch-Ankündigungen auf dem Laufenden zu halten. Zwar lädt die Patch-Verwaltungssoftware die neuesten Patches oft automatisch herunter, aber sie liefert den Administratoren nicht immer die Informationen, die sie benötigen, zum Beispiel die genauen Angaben zu einer Schwachstelle, die mit einem Patch behoben werden soll, oder welche neuen Funktionen ein Patch dem Betriebssystem oder der Anwendung hinzufügen wird.
Am einfachsten können Sie sich über Patch-Ankündigungen informieren, indem Sie dieses Forum besuchen, das Patch-Ankündigungen für eine Vielzahl von Linux-Distributionen enthält.
7. Mindern Sie die Risiken von Patch-Ausfällen
Das Wichtigste, was ein Unternehmen tun kann, um die Risiken der Patch-Verwaltung zu mindern, ist das gründliche Testen von Patches, bevor sie angewendet werden. Durch das Testen wird zwar das Risiko der Installation eines fehlerhaften Patches verringert, aber das Risiko, dass ein Patch nicht ordnungsgemäß installiert wird, wird dadurch nicht ausgeschlossen. Unternehmen sollten ihre Patch-Verwaltungssoftware so konfigurieren, dass sie bei fehlgeschlagenen Patch-Installationen alarmiert werden, damit die Administratoren Korrekturmaßnahmen ergreifen können.
8. Spielen Sie Patches so schnell wie möglich ein
Unternehmen müssen die Notwendigkeit von Patch-Tests gegen die Notwendigkeit abwägen, Patches ja nach Zweck zeitnah anzuwenden. Feature-Patches sollten beispielsweise ausgiebig getestet werden und müssen in der Regel nicht schnell eingespielt werden. Die Installation von Sicherheits-Patches hingegen sollte beschleunigt werden. Viele Experten empfehlen, Sicherheits-Patches innerhalb von zwei Wochen zu installieren, es sei denn, es gibt einen Exploit für eine bestimmte Schwachstelle. In diesem Fall sollte der Patch innerhalb von 48 Stunden nach seiner Veröffentlichung installiert werden.
Probleme beim Linux-Patching
Selbst nach gründlichen Tests kann es vorkommen, dass ein Unternehmen beim Aufspielen eines Linux-Patches auf ein Produktionssystem Probleme bekommt. Diese können von einer Unterbrechung der Arbeitslast bis hin zu einem Patch reichen, der sich einfach nicht installieren lässt.
Da es immer wieder zu Patching-Problemen kommen kann, ist es wichtig, eine Strategie für den Umgang mit diesen Problemen zu haben. Im Grunde bedeutet das, dass es eine Möglichkeit gibt, ein System zurückzusetzen, um einen fehlerhaften Patch zu entfernen. Sie sollten auch die Möglichkeit haben, Systeme aus einem Backup in den Zustand vor dem Patch zurückzusetzen, falls ein Rollback fehlschlägt.